BancaCRS, sistemi accessibili via web

BancaCRS, sistemi accessibili via web

Alcune pagine di gestione del sito dell'istituto, che offre anche servizi di internet banking, sono liberamente accessibili da web. UPDATE: la Banca ha già risolto
Alcune pagine di gestione del sito dell'istituto, che offre anche servizi di internet banking, sono liberamente accessibili da web. UPDATE: la Banca ha già risolto


Roma – UPDATE: Il problema segnalato, oltre ad essere marginale in quanto non riguardava in alcun modo gli apparati principali dei sistemi di banking e di informazione del sito di BancaCRS, è stato risolto nel breve volgere di poche ore. Tutte le informazioni sono disponibili qui: BancaCRS, nessun problema di sicurezza .


La “Banca Cassa di Risparmio di Savigliano” è uno dei numerosi istituti di credito italiani dotati di una presenza online di primo livello, una presenza che è caratterizzata dalle attuali singolari configurazioni della piattaforma software su cui risiede.

Come segnalato nei giorni scorsi da alcuni bug hunter, e tra questi dall’attivissimo Gabriele Zanoni , il setting della piattaforma Lotus Domino attualmente deciso dall’istituto consente a chiunque abbia un minimo di dimestichezza con questi sistemi di accedere ad aree che si potrebbero ritenere riservate. Una opinione condivisa da chi ha segnalato il bug che fa notare come BancaCRS offra anche servizi di Internet Banking, improntati naturalmente alla massima sicurezza per gli utenti, i movimenti e i dati finanziari.

Punto Informatico non appena verificato che senza alcuna password o avvertimento è possibile entrare in questi spazi amministrativi ha contattato la Banca che, al momento, non ha ancora risposto né ha provveduto a modificare la configurazione in senso più restrittivo. È possibile che l’aggiornamento del sito e di conseguenza il controllo della posta avvenga raramente, se si considera che nell’area contatti il disclaimer sulla privacy fa ancora riferimento alla vecchia legge 675/96 anziché al nuovo Codice (196/03).

Va detto che dalle pagine liberamente accessibili, senza cioè bisogno di alcun login o inserimento password, si potrebbe ritenere possibile aggiungere e togliere account, creare o cancellare servizi. È bene sottolineare, infine, che chiunque abbia la capacità di accedere a sistemi del genere dovrebbe trattenersi da qualsiasi azione e limitarsi a segnalare la situazione ai responsabili. PI si augura di poter pubblicare nei prossimi giorni un chiarimento della BancaCRS attorno alla configurazione dei propri sistemi.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
25 nov 2004
Link copiato negli appunti